Esta página foi traduzida pela API Cloud Translation.

Usar o gerenciamento da postura de segurança de dados

Neste documento, descrevemos como ativar e usar o gerenciamento da postura de segurança de dados (DSPM).

Ativar DSPM

É possível ativar o DSPM durante ou após a ativação do Security Command Center.

Conclua as etapas a seguir para ativar o DSPM no nível da organização:

Para receber as permissões necessárias para ativar o DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
- Administrador da organização (roles/resourcemanager.organizationAdmin)
- Administrador da Central de segurança (roles/securitycenter.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Ative a DSPM usando um dos seguintes métodos:

Cenário	Instruções
Você não ativou o Security Command Center ou está usando o nível Standard e quer usar o nível Premium.	Ative o DSPM ativando o Security Command Center Premium para uma organização.
Você não ativou o Security Command Center e quer usar o nível Enterprise.	Ative o DSPM ativando o Security Command Center Enterprise.
Você ativou o nível Premium do Security Command Center e quer ativar o DSPM.	Ative a DSPM usando a página Configurações. Ir para a página "Configurações"
Você ativou o nível Security Command Center Enterprise e quer ativar o DSPM.	Ative o DSPM usando a página Ativar DSPM. Acessar "Ativar DSPM"

Para mais informações sobre os níveis do Security Command Center, consulte Níveis de serviço do Security Command Center.

Ative a descoberta dos recursos que você quer proteger com o DSPM.

Quando você ativa a DSPM, os seguintes serviços também são ativados:

Compliance Manager para criar, aplicar e gerenciar frameworks de segurança de dados e controles de nuvem.
Proteção de Dados Sensíveis para usar indicadores de sensibilidade de dados na avaliação de risco de dados padrão.
Event Threat Detection (parte do Security Command Center) no nível da organização para usar o controle de nuvem de governança de acesso a dados e o controle de nuvem de governança de fluxo de dados.
A Proteção de IA ajuda a proteger o ciclo de vida das suas cargas de trabalho de IA (somente no nível Security Command Center Enterprise).

A estrutura de fundamentos da segurança e privacidade de dados é aplicada automaticamente à organização.

O agente de serviço da DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) é criado quando você ativa a DSPM.

Para informações sobre os papéis do gerenciamento de identidade e acesso da DSPM, consulte Identity and Access Management para ativações no nível da organização.

Suporte da DSPM para perímetros do VPC Service Controls

Ao ativar a DSPM em uma organização que inclui perímetros do VPC Service Controls, considere o seguinte:

Revise as limitações do Security Command Center.
Não é possível usar um perímetro para proteger recursos da DSPM, porque todos estão no nível da organização. Para gerenciar permissões da DSPM, use o IAM.
Como a DSPM é ativada no nível da organização, ela não pode detectar riscos e violações de dados em um perímetro de serviço. Para permitir o acesso, faça o seguinte:
1. Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
2. Configure a seguinte regra de entrada:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Substitua DSPM_SA_EMAIL_ADDRESS pelo endereço de e-mail do agente de serviço de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Os papéis do IAM necessários para o agente de serviço são concedidos quando você ativa o DSPM e determina quais operações o agente de serviço pode realizar.

Para mais informações sobre regras de entrada, consulte Como configurar políticas de entrada e saída.

Usar o painel do DSPM

Conclua as ações a seguir para usar o painel e analisar sua postura de segurança de dados.

Para receber as permissões necessárias para usar o painel do DSPM, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
- Administrador de gerenciamento de postura de segurança de dados (roles/dspm.admin)
- Administrador da Central de segurança (roles/securitycenter.admin)
- Para acesso somente leitura:
  - Leitor do gerenciamento da postura de segurança de dados (roles/dspm.viewer)
  - Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Use o painel do DSPM para descoberta de dados e análise de riscos. Ao ativar o DSPM, você pode avaliar imediatamente como seu ambiente se alinha ao framework de fundamentos de segurança e privacidade de dados.

No console, clique na guia Proteção de dados em Segurança e compliance de dados.

Acessar o painel de segurança de dados

As seguintes informações estão disponíveis:
- Explorador de mapa de dados
- Descobertas de segurança de dados
- Insights sobre controles e frameworks de segurança de dados aplicados
Use essas informações para analisar e corrigir os resultados, de modo que seu ambiente se alinhe melhor aos requisitos de segurança e compliance.

Ao visualizar o painel no nível da organização e implantar aplicativos em uma pasta configurada para gerenciamento de aplicativos, é possível selecionar um aplicativo para filtrar o painel e mostrar apenas as descobertas e os insights que se aplicam a ele. Considere as seguintes latências de verificação ao analisar os dados:
- O painel de principais descobertas pode mostrar dados desatualizados de configuração de recursos. Por exemplo, o recurso principal de uma descoberta pode estar associado a um aplicativo desatualizado.
- O seletor de aplicativos pode não mostrar os aplicativos e os registros de recursos criados nas últimas 24 horas.
O explorador do mapa de dados pode levar até 24 horas após a ativação do Security Command Center para preencher todos os dados do Security Command Center e do Inventário de recursos do Cloud.

Criar frameworks personalizados de segurança de dados

Se necessário, copie o framework de fundamentos de segurança e privacidade de dados e personalize-o para atender aos seus requisitos de segurança e conformidade de dados. Para instruções, consulte Aplicar um framework.

Implantar controles avançados de segurança de dados na nuvem

Se necessário, adicione os controles de segurança de dados avançada na nuvem a estruturas personalizadas. Esses controles exigem configuração adicional antes da implantação. Para instruções sobre como implantar controles e frameworks de nuvem, consulte Aplicar um framework.

É possível implantar frameworks que incluem controles avançados de segurança de dados na nuvem para sua organização, pastas, projetos e aplicativos do App Hub em pastas configuradas para gerenciamento de aplicativos. Para implantar os controles avançados de segurança de dados na nuvem em aplicativos, a estrutura só pode incluir esses controles. Selecione a pasta habilitada para apps e o aplicativo que você quer que os controles na nuvem monitorem. Não é possível usar aplicativos em projetos host ou um limite de projeto único.

Considere o seguinte:

Analise as informações de cada controle avançado de segurança de dados na nuvem para conhecer as limitações.

Conclua as tarefas de cada regra, conforme descrito na tabela a seguir.

Regra	Configurações avançadas
Controle da nuvem de governança de acesso aos dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI (quando aplicável no seu ambiente). Defina o tipo de permissão de acesso a dados como `DATA_READ`. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas do DSPM. Adicione um ou mais principais permitidos (até um máximo de 200 principais) usando um dos seguintes formatos: Se for um usuário, `principal://goog/subject/USER_EMAIL_ADDRESS` Exemplo: `principal://goog/subject/alex@example.com` Para um grupo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Exemplo: `principalSet://goog/group/my-group@example.com`
Controle de nuvem de governança de fluxo de dados	Ative os registros de auditoria de acesso a dados para o Cloud Storage e a Vertex AI(quando aplicável no seu ambiente). Defina o tipo de permissão de acesso a dados como `DATA_READ`. Ative os registros de acesso a dados no nível da organização ou do projeto, dependendo de onde você aplica o controle de nuvem de governança de acesso a dados. Verifique se apenas os principais autorizados estão isentos da geração de registros de auditoria. As principais isentas do registro de auditoria também são isentas da DSPM. Especifique os países permitidos usando os códigos definidos no Unicode Common Locale Data Repository (CLDR).
Controle de proteção de dados e governança de chaves na nuvem	Ative a CMEK no BigQuery e na Vertex AI.
Controles de exclusão de dados na nuvem	Defina os períodos de retenção. Por exemplo, para definir um período de retenção de 90 dias em segundos, defina o período de armazenamento como `777600`.

A seguir

Analise descobertas relacionadas à segurança de dados.